daabm

Dem Identity Management (das User in Gruppen steckt) und den effektiven Rechten sind die Gruppennamen völlig egal, Du kannst auch GUIDs als Name verwenden. Aber dann viel Spaß beim Nachvollziehen für den technisch sachkundigen Dritten

Loopback Replace... Auch wenn Du nicht weißt, was es ist, aber das kannst Du ja ändern https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html https://evilgpo.blogspot.com/2012/02/loopback-demystified.html Und nein, die GPO wurde NICHT verarbeitet. Es wurde nur "irgendeine" GPO verarbeitet, in der Ordnerumleitung enthalten ist. Und Ordnerumleitung ist eine CSE, die bei "gpupdate" nicht will und nen "Fehler" zurückliefert.

Loopback replace aktiviert? GPO-Link nicht aktiviert? Man weiß es nicht

Signotec wird auch im Bankenumfeld verwendet - das sollte also rechtssicher sein

Da sind die Herren Experts aber mal wieder sehr empfindlich heute Spaß beiseite: psexec ist immer gut, und Logging im Skript hilft natürlich auch. Ich tippe - wie schon einige hier - auf fehlerhafte ACLS auf dem UNC-Pfad. Share-Permissions sind ja nicht alleine ausschlaggebend.

Vielleicht hilft das für das Lokalisieren des Problems: https://blogs.msmvps.com/acefekay/category/dc-locator-process/ Und ja, wenn kein DC gefunden wird, ist es eigentlich immer ein DNS-Problem.

Ja, XML ist nicht dafür entworfen, von Humans gelesen zu werden - nur von Computern

Here we go - bei mir liegt das in ner Funktion. Ist zwar VBS, aber das ist von VB6 nicht so weit weg, das solltest Du portieren können Das entscheidende ist das "manuelle" Einfügen von Zeilenumbrüchen an jedem "><" und das Transformieren per Stylesheet mit indent="yes". Dim strXmlCOMObject strXmlCOMObject = "Msxml2.DOMDocument.6.0" Function FormatXML( ByVal XMLObject ) Dim strXML, objXML, objXSL, strStyleSheet Set objXML = WScript.CreateObject( strXMLComObject ) Set objXSL = WScript.CreateObject( strXMLComObject ) strXML = Replace( XMLObject.XML, "><", ">" & vbCrLf & "<" ) objXML.LoadXML strXML strStylesheet = _ "<xsl:stylesheet version=""1.0"" xmlns:xsl=""http://www.w3.org/1999/XSL/Transform"">" & _ "<xsl:output method=""xml"" indent=""yes""/>" & _ "<xsl:template match=""/"">" & _ "<xsl:copy-of select="".""/>" & _ "</xsl:template>" & _ "</xsl:stylesheet>" objXSL.loadXML strStylesheet objXML.transformNode objXSL Return objXML.XML End Function

Ah - erwischt Hab ich schon mal gemacht, grad aber nicht greifbar. Und wenn ich mich recht erinnere, hab ich XSLT dafür benutzt. Ich schau nach, Antwort kommt. Zum Verständnis: Dir geht's nur darum, daß ein Endlos-XML "lesbar" formatiert wird, keine Transformation dabei, oder?

Hm - "keep it simple" ... Wenn das Server sind, warum liefern die dann nicht die Daten, statt man sie von einer zentralen Stelle aus holt? Würde ich zumindest so machen - entweder auf nem Share oder in ne Datenbank, und wer nicht liefert, muß halt untersucht werden. Und bei knapp 600 Servern würde ich mal über PRTG oder ähnliches nachdenken - man kann ja schon ab und zu mal ein Rad neu erfinden, sollte aber über die Gesamtkosten nachdenken.

Ordnerumleitung hat Einstellungen für das Verhalten beim Entfernen - wenn das "unpassend" konfiguriert ist, bleibt die Umleitung auch bei nicht mehr angewendeter GPO weiter bestehen. Und aus der Erfahrung: Keep it simple - tu Dir das mit verschiedenen Pfaden pro Benutzergruppe nicht an. Am "einfachsten und zuverlässigsten" funktioniert die Umleitung, wenn Deine User ein Homeset im AD-Account haben, mit %homeshare%%homepath% (ja, die GUI meckert - aber zu Unrecht - wenn Du das einträgst... Und nein, da fehlt kein Backslash). Dann muß für FR noch "Anwenden ohne Änderung" aktiviert werden, falls das Homeset mal umzieht - https://gpsearch.azurewebsites.net/#324 Das ist aber unnötig, wenn man alle seine Shares nicht "direkt" bereitstellt, sondern - sinnvollerweise - ausschließlich über DFS-Namespaces. Dann ändert sich dort nur das Verweisziel. Du merkst schon, da kommt man schnell vom 100sten ins 1000ste BTW: Man kann die Ordnerumleitung auch "komplett selbstkontrolliert" gestalten: https://evilgpo.blogspot.com/2014/10/implementieren-von-ordner-nur-auf.html (Geht auch unter Windows 10 noch...) Wahnsinn - auch schon wieder 6 Jahre alt, der Post

Dann sag dem DHCP doch auf allen Scopes, daß er die Adressen im DNS registrieren soll...

Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all) Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...)

Bewußtseinserweiterung und Erhaltung der Art? Oder noch "schneller mit dem Kettcar um die Ecke"?

Bin jetzt kein DHCP-Profi, aber da könnte was machbar sein mit der Class ID. Ist normalerweise leer, kann per ipconfig oder Registry gesetzt werden. Und der DHCP-Server kann das iwie auswerten und was damit anstellen.

Weil die alten nicht dran denken, daß jemand das über den neuen Kram versuchen könnte?

Abgesehen vom Problem der Verhaltens- und Leistungskontrolle, das vorher unbedingt (!) geklärt werden muß: So funktioniert das garantiert nicht, weil alle "gleichzeitig" in das gleiche File schreiben. Und warum das auf Sysvol liegen sollte, weißt auch nur Du. Entweder gleich richtig (also in eine Datenbank) oder wenigstens in ein individuelles File pro User und/oder pro Client (in der Annahme, daß sich ein User immer nur zu einer Zeit wo anmeldet und daß sich auf einem Client immer nur ein User gleichzeitig anmeldet).

Ohne AD wird das sehr schwer zentral zu steuern. Gäbe noch InTune, kostet aber auch nicht "nichts". Als "Domain Controller" für AD könntet Ihr auch Samba 4 nehmen, dann muß wenigstens nur die HW bezahlt werden. Auch wenn Du da dann bei der Software zumindest in diesem Board eher wenig Support finden wirst. 16x4 gibt bei mir 64 Clients, und ein paar in Reserve sollten auch noch vorhanden sein. In den meisten Firmen stehen bei der PC-Menge 2 VM-Hosts mit ca. 6 bis 12 virtuellen Servern, und das dürfte Gründe haben.

Was Norbert meint: Schlangenöl... Lufthaken... Feilenfett... Ölwannenbeleuchtung... Kolbenrückholfeder... ? Defender reicht völlig, Brain 2.0 ist 1000x wichtiger. Gegen APTs hilft kein AV.

Mein "inspirierender Modus" hängt hinter der Couch an der Wand Nennt sich Regal und enthält Whisky (oder auch Whiskey) in etwa 25 Varianten. Ansonsten konnte ich mit dem Begriff bisher auch nichts anfangen - und ich hoffe sehr, daß mir das auch in Zukunft erspart bleibt. Das ist so "End-User Fitzelkram", der ist der Alptraum jedes Admins. [/OT]

Stand oben schon mal: Wenn das XML ist, gibt es keinen Grund für "Zeile 12 ändern". Wenn Du diese Dateien als XML lädst, kannst Du relativ komfortabel darin navigieren und Eigenschaften (= Properties) sowie Inhalte (= Nodes) ändern. Dazu müßtest Du aber mal zeigen, was Du schon hast und wie so ein XML aussieht. Ansonsten bin ich bei Olaf: Wer's falsch angeliefert hat, könnte es doch auch richtig anliefern? Und "mehrere tausend" hat ja sicher ein Automatismus erstellt, der könnte das ja ein zweites Mal "korrekt tun" PS: VBS spreche ich zwar noch, habe damit aber schon seit ca. 5 Jahren kaum noch etwas gemacht. Powershell wäre wirklich die bessere Alternative.

Ojeh - DHCP/DNS/Firewall/VPN-Änderungen remote klingt nach "Ast, auf dem ich sitze"... Hier sogar gleich 4 Äste. Ich würde das dringend vor Ort machen wollen. Ich würde ja einfach nen neuen Bereich anlegen und dann den alten deaktivieren bzw. entsorgen. Ich weiß ja nicht, was an Reservierungen etc. vorhanden ist (ok, paar Excludes sieht man), aber wenn Du das Bereichsnetz änderst, paßt das ja alles nicht mehr zum neuen Bereich.

Hey, keine Ursache - schön, wenn ich so ein Feedback kriege, danke dafür Und übrigens auch Kompliment, daß Du das mit meinen doch nicht sooo dummy-tauglichen Infos umgesetzt hast. Das ist heutzutage leider selten geworden...

Ändere den Startmodus von Manuell auf Automatisch, dann dürften die meisten weg sein. Oder lebe halt damit

@falkebo wenn ich das richtig weiß, kannst auf jeder Standard-Blechlizenz 2 VMs betreiben. Ein Filer braucht kaum Ressourcen außer ein wenig Netz und Platte (und auch das wird meist überschätzt), ein Spooler noch weniger. Wenn man das heute also auf Blech auf einer Maschine hat, spricht für mich alles dafür, das morgen als VM auf dem gleichen Blech getrennt laufen zu lassen.